Primo analyse
Introduction
Effectuée par l’analyste, la primo consiste à orienter l’investigation en effectuant tout un ensemble d’actions sur les prélèvements dans le but d’obtenir rapidement des marqueurs intéressants. Ce chapitre sera divisé en trois parties. Nous présenterons dans un premier temps les méthodes permettant de rendre exploitables les prélèvements effectués dans le chapitre Comment effectuer vos prélèvements. Puis, nous présenterons les outils de primo analyse complétés enfin par une réflexion sur les mécanismes anti-forensics pouvant perturber les résultats obtenus, tant sur la récolte que sur l’interprétation.
Rendre son prélèvement exploitable
La vérification des empreintes numériques est primordiale pour s’assurer de l’intégrité du prélèvement. Conformément aux outils de prélèvement présentés dans les chapitres précédents, voici quelques commandes utiles :
-
Les commandes md5sum, sha1sum et sha256sum permettent de générer l’empreinte numérique pour les algorithmes md5, sha1 et sha256. Il va s’agir de vérifier l’empreinte renseignée sur la chaîne de contrôle.
-
La commande ewfverify suivie du fichier E01 permet également de vérifier le prélèvement effectué via EWF.
-
Pour le format AFF, la commande affinfo -S suivie par le nom du prélèvement effectue la vérification.
1. La mémoire de masse
Nous allons aborder les méthodologies permettant de rendre accessibles et exploitables les prélèvements de la mémoire de masse, dépendamment du format de prélèvement choisi et de l’environnement (physique ou virtualisé). La mémoire vive est, dans la grande majorité des cas, directement exploitable sans action particulière. Le chapitre Comment effectuer vos prélèvements présente les actions à effectuer selon la source de la mémoire (dump, crash dump, fichiers spéciaux (hyberfile.sys) ou bien gcore).
Pour être accessible, la mémoire de masse devra être montée, c’est-à-dire, rattachée à l’arborescence du système hôte. Pour cela, des répertoires sont dédiés à cette tâche à savoir /mnt, /media et /run/media, mais dans l’absolu n’importe quel répertoire peut convenir.
L’action de « monter une partition » permet de faire le lien entre le système d’exploitation, le système de fichiers et le périphérique de stockage sur lequel ce dernier a été initialisé. L’utilisateur a ainsi accès aux données du système de fichiers et peut les parcourir à travers le terminal ou toute autre application. Les options associées au montage du système de fichiers ont un impact...
Analyse par signature
La récolte d’artefacts permet de gagner du temps en triant rapidement les artefacts selon des indicateurs précis issus de solutions telles que les antivirus, les scanners d’IoC, scanner YARA, etc.
1. IoC
Les indicateurs de compromission (IoC) sont des observables accompagnés d’un contexte caractéristique à une ou plusieurs attaques passées et qui permettent d’orienter l’analyste. Les artefacts, issus de la récolte effectuée par l’analyse et relative à l’incident en cours, à l’attaquant et à son mode opératoire, pourront être contextualisés et comparer aux bases d’IoC.
Ils sont de natures diverses (e-mail, adresse IP, nom de domaine, DNS, application…) et contribuent à la connaissance des modes opératoires adverses. Des solutions comme MISP proposent de regrouper, tagger et d’organiser ces indicateurs. Une notion complémentaire est l’indicateur d’attaque (IoA) qui apporte des éléments identifiant une attaque en cours là où l’IoC concerne une attaque ayant déjà été exécutée.
Il est important de noter qu’il n’est pas conseillé de tester les IoC directement sur Internet, mais de passer par des bases de connaissances afin d’obtenir le plus d’informations possible. Le chapitre Boîte à outils présentera une suite de liens dédiés à cela.
Nous avons également des outils s’appuyant sur des règles YARA et sur des IoC qui peuvent s‘avérer très utiles. Ils sont présents pour les systèmes d’exploitation Microsoft Windows et GNU/Linux et seront détaillés dans les chapitres Boîtes à outils, Microsoft Windows : études de cas, et GNU/Linux : études de cas.
Ces outils s’appellent Loki et Thor. Ils permettent de scanner des disques durs et prélèvements en s’appuyant sur une importante base de règles YARA complété par des comparaisons d’empreintes numériques.
2. Antivirus
ClamAV est une référence, car facilement accessible. Il est composé de deux outils, freshclam et clamscan. Freshclam sert à télécharger...
Mécanismes anti-forensic
De nombreux modes opératoires s’appuient sur des techniques ayant pour objectif de rendre la tâche de l’analyste plus ardue. Ces techniques sont dites anti-forensics et nous allons en présenter quelques-unes.
L’étude [2] présente quatre objectifs des outils et méthodes dites anti-forensics :
-
empêcher la détection de certains types d’événements ;
-
perturber la collecte d’informations ;
-
augmenter le temps consacré par un analyste à une investigation ;
-
mettre en doute la véracité d’un rapport ou de témoignages.
À cela, [3] propose comme complément la possibilité pour ces outils de se rendre discrets en minimisant les traces d’exécution.
Nous allons présenter des concepts « classiques » comme la suppression de données, le chiffrement de fichiers, mais également des méthodes plus récentes.
1. Suppression des données
Une méthode radicale est la suppression des données. L’idée étant de rendre inexploitables les outils de carving. De nombreux outils offrent cette fonctionnalité par exemple File Shredder (https://www.fileshredder.org/), R-Wipe and clean (https://www.r-wipe.com/fr/) ou bien Sdelete de la suite Sysinternals.
Nous avons présenté...
Références
[1] LEE, Ju-young et LEE, Sang-jin. A study on hard disk drive ATA passwords. Journal of the Korea Institute of Information Security & Cryptology, 2015, vol. 25, no 5, p. 1059-1065.
[2] LIU, Vincent et BROWN, Francis. Bleeding-edge anti-forensics. Presentation at InfoSec World, 2006.
[3] GARFINKEL, Simson. Anti-forensics: Techniques, detection and countermeasures. In : 2nd International Conference on i-Warfare and Security. 2007. p. 77-84.
[4] GÜL, Murat et KUGU, Emin. A survey on anti-forensics techniques. In : 2017 International Artificial Intelligence and Data Processing Symposium (IDAP). IEEE, 2017. p. 1-6.